网络安全领域态势感知技术现状分析

孙向芳*，林斌



网络安全领域态势感知技术现状分析

孙向芳*，林斌

（中国人民解放军69026部队，新疆乌鲁木齐，830092）

网络空间安全既涵盖包括人、机、物等实体在内的基础设施安全，也涉及到其中产生、处理、传输、存储的各种信息数据的安全。通过网络安全态势感知技术,管理人员可以直观准确的判断网络系统当前的形势,并能预测未来网络安全状态的趋势,以此提前做出相应防范措施，这对于网络空间安全具有极为重要的意义。

网络空间安全；态势感知；网络舆情

引言

随着信息技术的持续变革推进，计算机网络已不再局限于传统的机与机的互联，而是不断趋向于物与物的互联、人与人的互联，成为融合互联网、社会网络、移动互联网、物联网、工控网等在内的泛在网络。

1 相关概念

经过半个多世纪的发展，以互联网为代表的计算机网络已经成为真正全球意义的信息共享与交互平台，深刻地改变了人类社会政治、经济、军事、日常工作和生活的各个方面。随着信息技术的持续变革推进，计算机网络已不再局限于传统的机与机的互联，而是不断趋向于物与物的互联、人与人的互联，成为融合互联网、社会网络、移动互联网、物联网、工控网等在内的泛在网络。

鉴于传统的“网络”概念无法涵盖其泛在性及战略意义，美国在2001年发布的《保护信息系统的国家计划》中首次提出了“网络空间”(cyberspace)的表述，并在后续签署的国家安全54号总统令和国土安全23号总统令中对其进行了定义：“网络空间是连接各种信息技术基础设施的网络，包括互联网、各种电信网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器”。在国内，沈昌祥院士指出网络空间已经成为继陆、海、空、天之后的第5大主权领域空间，也是国际战略在军事领域的演进。方滨兴院士则提出：“网络空间是所有由可对外交换信息的电磁设备作为载体，通过与人互动而形成的虚拟空间，包括互联网、通信网、广电网、物联网、社交网络、计算系统、通信系统、控制系统等”。虽然定义有所区别，但是研究人员普遍认可网络空间是一种包含互联网、通信网、物联网、工控网等信息基础设施，并由人–机–物相互作用而形成的动态虚拟空间。

由于网络虚拟空间与物理世界呈现出不断融合、相互渗透的趋势，网络空间的安全性不仅关系到人们的日常工作生活，更对国家安全和国家发展具有重要的战略意义。2012年12月，欧洲网络与信息安全局发布《国家网络空间安全战略：制定和实施的实践指南》，指出“网络空间安全尚没有统一的定义，与信息安全的概念存在重叠，后者主要关注保护特定系统或组织内的信息的安全，而网络空间安全则侧重于保护基础设施及关键信息基础设施(criticalinformationinfrastructure)所构成的网络”。而美国国家标准技术研究所在2014年发布的《增强关键基础设施网络空间安全框架》3)对网络空间安全进行了定义，即“通过预防、检测和响应攻击，保护信息的过程”。综合上述定义，本文认为网络空间安全既涵盖包括人、机、物等实体在内的基础设施安全，也涉及到其中产生、处理、传输、存储的各种信息数据的安全。

“态势”（Situation）的概念源于军事领域，用于描述在动态变化的环境中，内部结构复杂且受多种因素影响的被研究对象的整体状态和变化趋势。也就是说，态势是一种状态和趋势，表示了一个整体和全局的概念，对于任一系统而言，单个事件都不可称之为态势。

“感知”（Awareness）的概念是指，人作为主体时，通过感觉器官对客观事物的反映。具体来说，就是主体通过具有主动性、实时性和智能化的逻辑推理，得出对客观事物的观测结论。这一概念被网络安全领域所借鉴，描述了态势感知系统对网络的整体安全状况进行监测，对监测数据进行分析处理，将决策结果以可视化的方式呈现给管理者的过程。

态势感知（Situation Awareness）的概念源于航空航天飞行中对人因（Human Factors）工程的研究，用于描述飞行员观察和理解其所处情境，并做出决策的过程。引申来说，就是在一定的时间和空间范围内，认识所处环境中的各种事物，获取和理解各种环境因素，并预测未来状态的过程。

态势感知广泛应用于航空飞行、空中交通管制、电网管理和军事指挥等环境复杂多变的领域，虽然目前尚未形成一致公认的定义，但它的本质是，为高效、准确的决策提供依据。Endsley从人的认知角度，把态势感知描述为与环境有关的智能处理，是决策者自身的理解过程，并将其定义为“在一定的时间和空间条件下，对环境要素进行获取和理解，并对未来状态进行预测”；在军事领域，美国国防部提出的JDL（Joint Director of Laboratories）模型给出了态势感知的一个功能描述，即建立有关兵力要素、战场环境和作战活动的整体视图；在网络安全领域，2006年美国的“网络安全和信息保障联邦规划（Federal Plan for Cyber Security and Information Assurance）”中，提出了网络态势感知（Cyber Situational Awareness）的概念，并将其定义为“帮助安全管理人员进行决策的手段，通过可视化的基础设施的安全状况，识别关键组件，掌握攻击者的行为和意图，有的放矢地调整防御策略”。下面将主要介绍网络安全领域态势感知技术的研究现状。

2 网络安全态势感知技术分析

2.1 网络安全态势感知

网络安全态势感知（Network Security Situation Awareness）指，对能够引发网络安全态势变化的，网络运行环境中的要素信息的获取分析和理解处理，并对未来发展趋势做出预测。1999年，Tim Bass和Dave Gruber首先提出了网络空间态势感知（Cyberspace Situational Awareness）的概念，逐渐演化为网络安全态势感知。网络安全态势感知可以从宏观上反映网络的运行状态，不仅包括当前状态，还包括历史状态，并能够预测未来状态：首先，检测和获取对网络安全性有影响的网络要素，其数据来源为网络设备的告警信息、日志文件和各种网络监控设备的运行记录等；然后，采用分类、合并和关联等信息分析手段对数据进行融合，从而实现分析与评估，获得当前网络的整体安全状态信息；最后，根据当前和历史的网络安全态势信息对未来安全态势做出预测。目前围绕网络安全态势感知的研究主要可以分为：框架模型、数据预处理/态势信息获取、评估方法和预测方法的研究等。

2.2 网络舆情态势

舆情，是指在一定社会范围内，针对社会事件的产生、发展和变化，民众所生成并持有的态度情况。它反映了民众对某一社会现象或问题的意见、观点和情绪等。网络舆情指，民众针对在网络中传播的某一事件或话题，所发表的具有一定影响力和倾向性的意见或言论的情况。网络舆情态势（Network Public Opinion Situation）是指在网络舆情的发生、发展和变化过程中，话题和公众等舆情要素的属性和其间的关系，以及随时空变化的趋势。网络舆情态势的分析过程，就是从海量网络信息中检测和发现舆情话题、分析和评估网络舆情态势的过程。对于某一网络舆情话题，可以利用其主题内容、点击数目、评论人数及评论人信息等，通过采集数据、抽取信息、以及对话题的检测追踪等技术手段，提取话题属性，分析其在传播过程中的发展态势。

3 结束语

通过对现有态势感知研究成果的学习和分析可以看出：网络安全态势感知技术起步较早，发展较为成熟；网络舆情态势技术则是，随着网络的普及、用户群体的增多和网站、博客、论坛、微博等交互性媒体传播平台的推广应用而兴起的，还尚未有成型的研究体系。虽然网络空间安全已经得到普遍重视，但近年来一些新的焦点问题相继显露，网络空间仍然面临着从物理安全、系统安全、网络安全到数据安全等各个层面的挑战，迫切需要进行全面而系统化的安全基础理论和技术研究。

[1] 罗军舟, 杨明, 凌振, 等. 网络空间安全体系与关键技术. 中国科学: 信息科学, 2016, 46:939-968.

[2] 方滨兴. 从层次角度看网络空间安全技术的覆盖领域. 网络与信息安全学报, 2016, 1: 2-7.

[3] 韦勇, 连一峰, 冯登国. 基于信息融合的网络安全态势评估模型[J]. 计算机研究与发展, 2009, 03: 25-26.

[4] 韦勇, 连一峰. 基于日志审计与性能修正算法的网络安全态势评估模型[J]. 计算机学报, 2009, 04: 369-370.

[5] 刘念, 刘勇, 李涛, 等. 基于免疫的网络安全态势感知关键技术研究[J]. 四川大学学报(工程科学版), 2009, 06: 235-236.

Present Situation Analysis of Situation - sensing Technology in Network Security

SUN Xiangfang*, LIN Bin

(69026, People's Liberation Army, Xinjiang Urumqi, 830092, China)

Cyberspace security covers both the infrastructure security, including people, machines and objects, as well as the security of various information data generated, processed, transmitted and stored. Through the network security situation awareness technology, managers can intuitively and accurately determine the current situation of the network system, and can predict the future trend of network security status, in order to make appropriate preventive measures in advance, which for cyberspace security is of great significance.

cyberspace security; situational awareness; network public opinion

孙向芳, 林斌. 网络安全领域态势感知技术现状分析[J]. 数码设计, 2017, 6(5): 13-14.

SUN Xiangfang, LIN Bin. Present Situation Analysis of Situation - sensing Technology in Network Security[J]. Peak Data Science, 2017, 6(5): 13-14.

10.19551/j.cnki.issn1672-9129.2017.05.005

TP323

A

1672-9129(2017)05-0013-02

2017-02-01；

2017-02-26。

孙向芳（1985-），女，河南汝州，助工，大专。E-mail: 13319802219@163.com